Bundesamt für Sicherheit in der Informationstechnik

M 4.133 Geeignete Auswahl von Authentikationsmechanismen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Identifikations- und Authentikationsmechanismen von IT-Systemen bzw. IT-Anwendungen müssen so gestaltet sein, dass Benutzer eindeutig identifiziert und authentisiert werden. Die Identifikation und Authentisierung muss vor jeder anderen Interaktion zwischen IT-System und Benutzer erfolgen. Weitere Interaktionen dürfen nur nach der erfolgreichen Identifikation und Authentisierung möglich sein. Die Authentisierungsinformationen müssen so gespeichert sein, dass nur autorisierte Benutzer darauf Zugriff haben (sie prüfen oder ändern können). Bei jeder Interaktion muss das IT-System die Identität des Benutzers feststellen können.

Vor der Übertragung von Nutzerdaten muss der Kommunikationspartner (Rechner, Prozess oder Benutzer) eindeutig identifiziert und authentisiert sein. Erst nach der erfolgreichen Identifikation und Authentisierung darf eine Übertragung von Nutzdaten erfolgen. Beim Empfang von Daten muss deren Absender eindeutig identifiziert und authentisiert werden können. Alle Authentisierungsdaten müssen vor unbefugtem Zugriff und vor Fälschung geschützt sein.

Es gibt verschiedene Techniken, über die die Authentizität eines Benutzers nachgewiesen werden kann. Die bekanntesten sind:

  • PINs (Persönliche Identifikationsnummern)
  • Passwörter
  • Token wie z. B. Zugangskarten
  • Biometrie

Für sicherheitskritische Anwendungsbereiche sollte starke Authentisierung verwendet werden, hierbei werden zwei Authentisierungstechniken kombiniert, wie Passwort plus Transaktionsnummern (Einmalpasswörter) oder plus Chipkarte. Daher wird dies auch häufig als Zwei-Faktor-Authentisierung bezeichnet. Beide eingesetzten Authentisierungstechniken müssen sich auf dem Stand der Technik befinden.

Im Folgenden werden verschiedene Kriterien aufgezeigt, die bei der Auswahl von Identifikations- und Authentikationsmechanismen beachtet werden sollten. Nicht alle marktgängigen Systeme erfüllen alle Kriterien, diese sollten aber bei der Auswahl entsprechend berücksichtigt werden. Viele IT-Produkte beinhalten bereits neben ihrer eigentlichen Funktionalität Authentikationsmechanismen, beispielsweise Betriebssysteme. Hier ist zu überprüfen, ob diese den Ansprüchen genügen oder ob sie um zusätzliche Funktionalitäten erweitert werden müssen. Auch dazu eignen sich die folgenden Kriterien.

Administration der Authentikationsdaten

Es müssen Sicherheitsfunktionen bereitstehen, um Authentikationsdaten für Benutzer anlegen und verändern zu können. Diese Funktionen sollten nur von autorisierten Administratoren ausgeführt werden können. Bei der Verwendung von Passwörtern sollten autorisierte Benutzer ihre eigenen Authentikationsdaten innerhalb festgesetzter Grenzen verändern können. Das IT-System sollte einen geschützten Mechanismus zur Verfügung stellen, damit Benutzer ihre Passwörter selbstständig verändern können. Dabei sollte es möglich sein, eine Mindestlebensdauer für Passwörter vorzugeben.

Nach einer erfolgreichen Anmeldung sollte den Benutzern Zeit und Ort seines letzten erfolgreichen Zugriffs angezeigt werden.

Schutz der Authentikationsdaten gegen Veränderung

Das IT-System muss die Authentikationsdaten bei der Verarbeitung jederzeit gegen Ausspähung, Veränderung und Zerstörung schützen. Dies kann beispielsweise durch Verschlüsselung der Passwortdateien und durch Nicht-Anzeigen der eingegebenen Passwörter geschehen. Die Authentikationsdaten sind getrennt von Applikationsdaten zu speichern.

Systemunterstützung

Beim Einsatz von organisationsweiten Authentikationsverfahren sollten diese nur auf Servern betrieben werden, deren Betriebssystem einen adäquaten Schutz gegen Manipulationen bietet. Bei der Auswahl von Authentikationsverfahren sollte darauf geachtet werden, dass diese möglichst plattformübergreifend eingesetzt werden können.

Fehlerbehandlung bei der Authentikation

Das IT-System sollte Anmeldevorgänge nach einer vorgegeben Anzahl erfolgloser Authentikationsversuche beenden können. Nach Ende eines erfolglosen Anmeldevorgangs muss das IT-System den Benutzer-Account bzw. das Terminal sperren können bzw. die Verbindung unterbrechen. Nach erfolglosen Authentikationsversuchen sollte das IT-System jeden weiteren Anmeldeversuch zunehmend verzögern (Time-delay). Die Gesamtdauer eines Anmeldeversuchs sollte begrenzt werden können.

Administration der Benutzerdaten

Das IT-System sollte die Möglichkeit bieten, den Benutzern verschiedene Voreinstellungen zuweisen zu können. Diese sollten angezeigt und verändert werden können. Die Möglichkeit, Benutzerdaten zu verändern, muss auf den autorisierten Administrator beschränkt sein. Wenn die Administration der Benutzerdaten über eine Kommunikationsverbindung erfolgen soll, muss diese ausreichend kryptographisch gesichert sein.

Definition der Benutzereinträge

Das IT-System muss die Umsetzung der Sicherheitsrichtlinie ermöglichen, indem für jeden Benutzer die entsprechenden Sicherheitseinstellungen gewählt werden können.

Ein Authentikationsverfahren sollte auch erweiterbar sein, z. B. um die Unterstützung starker Authentikationstechniken wie dem Einsatz von Token oder Chipkarten (siehe auch M 5.34 Einsatz von Einmalpasswörtern ).

Umfang der Benutzerdaten

Neben Benutzernamen und Rechteprofil sollten noch weitere Informationen über jeden Benutzer hinterlegt werden (siehe auch M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen ):

  • Es sollte mindestens Vorname und Nachname eines Benutzers in der Benutzerverwaltung aufgenommen werden. Zusätzlich ist auch Telefon- und Raumnummer hilfreich.
  • Um mit dem Benutzer in Kontakt zu treten, sollten zusätzlich auch Informationen wie E-Mail-Adresse, Telefonnummer und geographischer Standort (Adresse, Raumnummer) erfasst werden.
  • Zusätzlich sollte erfasst werden, wie lange die Benutzerkennung gültig sein soll. Ist die Benutzerkennung abgelaufen, sollte sie gesperrt werden.

Passwortgüte

Wenn Passwörter zur Authentikation eingesetzt werden, sollte das IT-System Mechanismen bieten, die folgende Bedingungen erfüllen (siehe M 2.11 Regelung des Passwortgebrauchs ):

  • Es wird gewährleistet, dass jeder Benutzer individuelle Passwörter benutzt (und diese auch selbst auswählen kann).
  • Es wird überprüft, dass alle Passwörter den definierten Vorgaben genügen (z. B. Mindestlänge, keine Trivialpasswörter). Die Prüfung der Passwortgüte sollte individuell regelbar sein. Beispielsweise sollten vorgegeben werden können, dass die Passwörter mindestens ein Sonderzeichen enthalten müssen oder bestimmte Zeichenkombinationen verboten werden.
  • Das IT-System generiert Passwörter, die den definierten Vorgaben genügen. Das IT-System muss die so erzeugten Passwörter dem Benutzer anbieten.
  • Der Passwortwechsel sollte vom System regelmäßig initiiert werden. Die Lebensdauer eines Passwortes sollte einstellbar sein.
  • Die Wiederholung alter Passwörter beim Passwortwechsel sollte vom IT-System verhindert werden (Passwort-Historie).
  • Bei der Eingabe sollte das Passwort nicht auf dem Bildschirm angezeigt werden.
  • Nach der Installation bzw. der Neueinrichtung von Benutzern sollte das Passwort-System einen Passwort-Wechsel nach der Erst-Anmeldung erzwingen.

Biometrie

Unter Biometrie im hier verwendeten Sinn ist die automatisierte Erkennung von Personen anhand ihrer körperlichen Merkmale zu verstehen. Um biometrische Verfahren für die Authentisierung einsetzen zu können, werden zusätzliche Peripherie-Geräte benötigt, die die Benutzer auf Grundlage besonderer Merkmale eindeutig authentisieren können. Eine oder mehrere der folgenden biometrischen Merkmale können beispielsweise für eine Authentisierung verwendet werden:

  • Iris
  • Fingerabdruck
  • Gesichtsproportionen
  • Stimme und Sprachverhalten
  • Handschrift
  • Tippverhalten am Rechner

Neben einer Vielzahl von biometrischen Merkmalen und darauf basierenden biometrischen Verfahren bestehen darüber hinaus auch große Unterschiede zwischen den verfügbaren konkreten biometrischen Systemen und Produkten. Die Leistungsfähigkeit von biometrischen Verifikationssystemen ist sehr unterschiedlich. Bei einem Einsatz in sicherheitskritischen Bereichen muss darauf geachtet werden, dass das biometrische System eine akzeptable Erkennungsleistung und eine hohe Sicherheit bietet. Es darf nicht möglich sein, dass dieses mit Hilfe von Nachbildungen (z. B. einer Gesichtsmaske, Wachsnachbildung des Fingers, Kontaktlinsen mit Irismuster...) überlistet werden kann.

Authentisierung mit Token

Eine weitere Alternative bieten Authentikationstoken, also handliche Datenträger, die als sicherer Speicherplatz für die für die Authentikation benötigten Informationen wie z. B. kryptographischer Schlüssel dienen. Typische Beispiele für Authentikationstoken sind Chipkarten, USB-Sticks oder taschenrechnerähnliche Geräte zur Erzeugung von Einmal-Passwörtern.

Anforderungen an Authentikationsmechanismen für Benutzer

Das IT-System muss vor jeder anderen Benutzertransaktion die Benutzeridentität überprüfen. Das IT-System sollte darüber hinaus das Wiedereinspielen von Authentikationsdaten für Benutzer oder das Einspielen gefälschter oder kopierter Benutzerauthentikationsdaten erkennen und verhindern können. Das IT-System darf die Authentikationsdaten erst dann überprüfen, wenn sie vollständig eingegeben wurden.

Es sollte für jeden Benutzer individuell einstellbar sein, wann und von wo er auf das IT-System zugreifen darf.

Protokollierung der Authentisierungsmechanismen

Authentisierungsvorgänge sind in einem sinnvollen Umfang zu protokollieren. Die Protokolldateien sollten in regelmäßigen Abständen von den Administratoren überprüft werden. Das IT-System muss die folgenden Ereignisse protokollieren können:

  • Ein- und Ausschalten der Protokollierung.
  • Jeden Versuch, auf Mechanismen zum Management von Authentikationsdaten zuzugreifen.
  • Erfolgreiche Versuche, auf Authentikationsdaten zuzugreifen.
  • Jeden Versuch, unautorisiert auf Benutzer-Authentikationsdaten zuzugreifen.
  • Jeden Versuch, auf Funktionen zur Administration von Benutzer-Einträgen zuzugreifen.
  • Änderungen an Benutzereinträgen.
  • Jeden durchgeführten Test auf Passwort-Güte.
  • Jede Benutzung von Authentisierungsmechanismen.
  • Jede Konfiguration der Abbildung von Authentisierungsmechanismen zu spezifischen Authentikationsereignissen.
  • Die Installation von Authentisierungsmechanismen.

Jeder Protokollierungseintrag sollte Datum, Uhrzeit, Art des Ereignisses, Bezeichnung des Subjektes sowie Erfolg bzw. Misserfolg der Aktion enthalten.

Prüffragen:

  • Ist sichergestellt, dass jede weitere Interaktionen mit dem System oder der Anwendung erst nach erfolgreicher Identifikation und Authentisierung möglich ist?

  • Kommen dem Schutzbedarf angemessene Identifikations- und Authentisierungsmechanismen zum Einsatz?

  • Können Authentisierungsdaten für Benutzer ausschließlich von autorisierten Administratoren angelegt bzw. verändert werden?

  • Werden die Authentisierungsdaten durch das IT -System bei der Verarbeitung jederzeit gegen Ausspähung, Veränderung und Zerstörung geschützt?

  • Können die eingesetzten Authentisierungsmechanismen Anmeldevorgänge nach einer vorgegebenen Anzahl von Fehlversuchen beenden?

  • Werden abgelaufene Benutzerkennungen automatisch gesperrt?

  • Werden Authentisierungsvorgänge in einem für die Institution angemessenen Umfang protokolliert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK